安服工作中会遇到各种各样的问题,有的问题比较操蛋修复起来比较麻烦,这里记录一下,备忘。不得不说,有的修复方法是真的难找

0x01 SWEET32弱加密项

用Nessus或者绿盟扫描器进行扫描经常出现这个问题,应客户要求中、高危漏洞都必须解决掉。
sweet32

修复:

修复方法也比较简单,打开CMD,输入“gpedit”。依次找到“计算机配置”-“管理模版”-“网络”-“SSL配置设置”
gpedit

双击“SSL密码套件顺序”,勾选“已启用”,在“SSL密码套件”一栏中删除原有数据输入以下代码,点击应用,重启服务器即可。可用Nessus再次扫描进行验证
ssl

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

0x02 TLS1.0协议

TLS1.x由于年代久远存在许多安全风险问题,目前很厂商已不再支持,扫描器扫描出也是中危漏洞
tls1.0

修复:

Windows系统可通过注册表关闭,复制如下代码保存为tls.reg文件,之后双击写入注册表,重启服务器即可。

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Nginx服务可以通过修改配置文件进行加固,只保留tls1.2即可

0x03 Redis未授权访问

Windows 通过redis服务进程找到安装目录

1.redis-cli shutdown  #关闭redis服务
2.修改redis-conf(两个都修改)
3.redis-service + conf  #指定文件启动

linux 通过redis名称找到文件路径

1.find / -name redis* #通过name查找
2.ps -ef | grep redis
3.ls -l /proc/PID/cwd #通过PID进行查找
4.通过systenctl 进行重启和关闭或者和Windows一样通过cli进行关闭和重启

--------2021-1-10更新-----------------
上面修改conf文件,限制指定IP进行访问的方法有误,查看官方文档可以看到bind指定的是redis本地服务器的网卡地址,例如lo、eth1、eth2,指定哪张网卡就能通过哪张网卡进行访问。默认情况下,如果没有指定bind配置指令,则Redis监听来自服务器上所有可用网络接口的连接。
redis

修复建议
1.通过iptable限制需要访问redis数据库的IP
2.若只有本机读取数据,建议直接绑定 bind 127.0.0.1

0x04 等保2.0高风险项---关闭高危端口

  • 关闭135端口

1.单击“开始”—“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。
2.在弹出的“组件服务”对话框中,选择“计算机”选项。
3.在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。
4.在“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。
5.选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
6.单击“确定”按钮,设置完成,重新启动后即可关闭135端口。

  • 关闭139端口

1.右键单击桌面右下角“本地连接”图标,选择“状态”
2.在弹出的“本地连接状态”对话框中,单击“属性”按钮。
3.在出现的“本地连接属性”对话框中,选择“Internet协议(TCP/IP)”,双击打开。
4.在出现的“Internet协议(TCP/IP)属性”对话框中,单击“高级”按钮。
5.在出现的“高级TCP/IP设置”对话框中,选择“WINS”选项卡。
6.在“WINS”选项卡,“NetBIOS设置”下,选择“禁用TCP/IP上的” NetBIOS。
7.单击“确定”,重新启动后即可关闭139端口。

  • 关闭445端口

1.单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
2.找到注册表项“HKEY_LOCAL_MACHINE\System\Controlset
\Services\NetBT\Parameters”。
3.选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
4.将DWORD值命名为“SMBDeviceEnabled”。
5.右键单击“SMBDeviceEnabled”值,选择“修改”。
6.在出现的“编辑DWORD值”对话框中,在“数值数据”下,输入“0”,单击“确定”按钮,完成设置。

Linux目前还没遇到,遇到了加固完补上